Seguranca da Info - Lista Exercício

Prévia do material em texto

Questão 1.Um analista de segurança de uma empresa utilizou algumas ferramentas para coleta de informações sobre seu servidor web, obtendo o seguinte:
1. Ao fazer um ping no servidor a partir da rede interna, foi possível descobrir o seu endereço IP dado apenas sua URL.
2. Ao executar varredura de portas no servidor a partir da rede interna, o analista conseguiu identificar que as únicas portas abertas eram TCP/80 (HTTP), TCP/443 (HTTPS) e TCP/22 (SSH), enquanto as outras estavam fechadas.
3. Ao analisar as regras do firewall na borda da rede, percebeu-se que é permitida a passagem de pacotes aos servidores web apenas nas portas TCP/80 (HTTP) e TCP/443 (HTTPS).
4. Os logs do firewall na borda da rede indicam que foram enviados pacotes na porta TCP/22 (SSH), bloqueados pelo firewall.
5. Ao executar uma varredura de vulnerabilidades no servidor de e-mail, percebe-se que ele não tinha instalado um patch de segurança.
a) Quais dessas informações coletadas indicam potenciais falhas de segurança que podem ser exploradas por atacantes e, portanto, precisam ser corrigidas? Justifique sua resposta.
Apenas o item V: é necessário aplicar os patches de segurança adequados. Já os outros itens não indicam problemas:
I. é normal conseguir obter o IP de uma máquina a partir de seu nome (afinal, para acessar uma máquina, é necessário saber seu IP).
II. Em princípio, ter portas abertas é normal. Isso só indica que existem serviços em execução, não que há alguma vulnerabilidade nesses serviços. Seria um problema apenas se houvesse portas abertas para serviços que não deveriam estar executando na máquina, o que não parece ser o caso: portas HTTP(S) abertas em um servidor web é algo perfeitamente normal; uma porta SSH disponível na rede interna também é comum, para configuração da máquina.
III. Como trata-se de um servidor web, é normal que as portas para serviços web estejam abertas na firewall para permitir acesso externo.
IV. Isso pode indicar uma tentativa de ataque que foi bloqueada pelo firewall. Portanto, em princípio não indica uma falha de segurança. Seria uma falha de configuração apenas se a conexão SSH devesse ser permitida à máquina em questão a partir da internet, mas mesmo nesse caso não é uma falha que pode ser explorada por atacantes (vai apenas ser um incômodo para usuários legítimos que queiram fazer conexão remota à máquina).
b) Se o analista conseguir obter as mesmas informações dos itens I e II ao fazer ping e varredura de portas a partir de uma rede externa, isso indica uma falha de segurança?
Em princípio, não no caso do item I: se o servidor é acessível a partir da internet, deve ser possível descobrir seu IP.
No caso do item II, a porta TCP/22 (SSH) não deveria ser visível, pois tentativas de conexão nessa porta deveriam ser bloqueadas. Também não deveria ser possível enxergar portas fechadas, pois um firewall bem configurado deveria filtrar tentativas de varreduras de portas, indicando o estado "filtrado" para portas fechadas ou protegidas contra acesso externo (como é o caso da porta TCP/22)
Questão 2. Ferramentas de varredura de portas como o Nmap têm diversas opções de configuração que facilitam ataques. Assim, elas permitem a profissionais de segurança testar a efetividade de suas ferramentas de prevenção/detecção de intrusão. Como um atacante pode tirar proveito de cada uma das seguintes opções?
a) Tempo total de varredura: de "insano" (vários pacotes por segundo) a "sorrateiro" (varredura de um só sistema pode demorar horas ou dias).
Uma varredura mais rápida acelera a coleta de informações por atacantes, mas também aumenta a probabilidade de que tal ação seja detectada por sistemas de detecção de intrusão: afinal, não é muito normal que uma mesma máquina envie grande quantidade de pacotes por segundo a várias portas distintas do sistema... isso acontece quase que exclusivamente em ataques de varredura de portas.
b) Tipo de varredura: portas visitadas em sequência ou em ordem aleatória.
A visita de portas em ordem aleatória é preferível à visita em ordem sequencial, em especial se essa configuração for combinada com um tempo de varredura mais longo. Afinal, enviar vários pacotes para todas as portas de uma máquina configura um ataque de varredura de portas, algo facilmente detectável por um sistema de detecção de intrusão. Já se as portas forem consultadas em um período longo (e.g., várias horas ou mesmo dias), em uma ordem não muito clara, fica mais difícil para o IDS detectar o ataque, pois ele precisará correlacionar eventos ocorridos em um período mais longo de tempo.
c) Detecção de sistema operacional (SO): envio de pacotes a serviços específicos em busca de assinaturas conhecidas de SOs (ex.: "Serviço MS-RPC" executando, ou mensagem inicial de serviço -- "greetings" -- dizendo qual o SO está executando).
Saber qual é o sistema operacional da máquina é útil para selecionar o tipo de ataque que pode ser feito posteriormente (e.g., o tipo de malware à qual a máquina é suscetível). Por essa razão, profissionais de segurança muitas vezes omitem esse tipo de informação nas respostas enviadas pelo servidor, ou mesmo mentem sobre qual o sistema operacional está sendo de fato utilizado.